HTTP TRACE メソッドにインスタンス情報が含まれている

有効な各 vhost. に対して TraceEnable off を設定することで、インスタンス情報を含む HTTP メソッドをトレースする方法を説明します

説明 description

環境

Adobe Experience Manager

問題／症状

ペンテストが実行され、中程度のリスク 不要な HTTP メソッドのTRACEが有効 が見つかりました。

サイトはドメインヘッダーを使用してリクエストされましたが、HTTP 応答にはサーバーの名前に関する情報が含まれています。これにより、攻撃者は元のホスト名と AEM インスタンス名を参照できてしまいます。応答ヘッダーはロードバランサーから送信されます。HTTP 応答で X-Original-Host をマスクすることは可能ですか？

解決策 resolution

解決策は、以下に示すように、有効になっている各 vhost で TraceEnable をオフに設定することです。

…
< VirtualHost *:80>
ServerName"customer-publish"
ServerAlias 「customer.com」
TraceEnable オフ
…
< /VirtualHost>